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PROCEDE DE CONTRE-MESURE PAR MASQUAGE DE L ' ACCUMULATEUR 
DANS UN COMPOSANT ELECTRONIQUE METTANT EN OEUVRE UN 
ALGORITHME DE CRYPTOGRAPHIE A CLE PUBLIQUE 

La pr£sente invention concerne un proc§d§ de contre-mesure dans 
un composant electronique mettant en ceuvre un algorithme 
cryptographique a cle publique. 

5 Dans le modele classique de la cryptographie a cle secrete, 

deux personnes desirant communiquer par 1' intermediaire d'un canal 
non securise doivent au prealable se mettre d' accord sur une cle 
secrete de chiffrement K. ' La fonction de chiffrement et la 
fonction de dechif f rement utilisent la meme cle K. L' inconvenient 

10 du syst£me de chiffrement a cl<§ secrete est que ledit systeme 
requiert la communication prealable de la cle K entre les deux 
personnes par 1' intermediaire d'un canal securise, avant qu'un 
quelconque message chiffre ne soit envoye a travers le canal non 
securise. Dans la pratique, il est g6neralement difficile de 

15 trouver un canal de communication parfaitement securise, surtout 
si la distance separant les deux personnes est importante. On 
entend par canal securise un canal pour lequel il est impossible 
de connaitre ou de modifier les informations qui ^transitent par 
ledit canal. Un tel canal securis§ peut etre realise par un cable 

20 reliant deux terminaux, possed^s par les deux dites personnes. 

Le concept de cryptographie a cle publique fut invente par 
Whitfield Diffie et Martin Hellman en 1976 (IEEE Transactions on 
Information Theory, volume 22, numero 6, pages 644-654, 1976) . La 

25 cryptographie & cl§ publique permet de r^soudre le probleme de la 
distribution des cles a travers un canal non securise. La 
cryptographie a cle publique est basee sur ■ la difficulty de 
resoudre certains probl^mes (supposes) calculatoirement 
infaisables. Le probleme considere par Diffie et Hellman est la 

30 resolution du logarithme discret dans le groupe multiplicatif d'un 
corps fini. 
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On rappelle que dans un corps fini, le nombre d f 616ments du corps 
s'exprime tou jours sous la forme q*n, ou q est un nombre premier 
appele la caracteristique du corps et n est un nombre entier. Un 
corps fini possedant q~n elements est note GFfq^n). Dans le cas ou 
5 le nombre entier n est £gal k 1, le corps fini est dit premier. Un 
corps poss^de deux groupes : un groupe multiplicatif et un groupe 
additif. Dans le groupe multiplicatif, 1' element neutre est note 1 
et la loi de groupe est not§e multiplicativement par le symbole . 
et est appelee multiplication. Cette loi definit 1' operation 
10 d' exponentiation dans le groupe multiplicatif G: etant donne un 
element g appartenant a G et un entier d, le resultat de 
1' exponentiation de g par d est 1' element y tel que 
y=g d =g.g.g g (d fois) dans le groupe G. 

!5 Le probleme du logarithme discret dans le groupe 

multiplicatif G d f un corps fini consiste a trouver, s'il 
existe, un entier d tel y=g /s d, £tant donne deux Elements y 
et g appartenant a G. 

Ainsi, il est possible pour deux personnes de 
construire une cle commune K. Une personne A choisit un 
nombre aUatoire a, calcule la demi-cle K a = g /N a dans G et 
envoie K a a une personne B. De la meme fagon, B choisit un 
nombre al£atoire b, calcule la demi-cle K b =g^b dans G et 
envoie K b a A. Ensuite, A calcule K=K b A a et B calcule 
K=K a ^b. De fagon remarquable, seules les personnes A et B 
sont capables de construire la cle commune K^gMab). 

En plus de l'echange de cles, la cryptographie a cle 
30 publique permet le chiffrement des donnees, la signature 
numerique, 1 ' authenti f ication ou 1' identification . De 
nombreux systemes cr yptographiques bases sur le probleme du 
logarithme 'discret sont pr£sent<§s dans « Handbook of 
Applied Cryptography » par Alfred Menezes, Paul van 
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Oorschot et Scott Vanstone, CRC Press, 1997. On note a 
titre d'exemple le chiffrement d'El Gamal ou la signature 
numerique DSA. 

5 D'autres groupes ont £te envisages pour implementer 

des analogues aux systemes cryptographiques construits dans 
le groupe mul t ipli cat i f d'un corps fini. En 1985, Victor 
Miller et Neal Koblitz ont independamment propose 
1' utilisation de courbes elliptiques dans des systemes 

10 cryptographiques. L'avantage de systemes cryptographiques a 
base des courbe elliptiques est qu' ils fournissent une 
securite 6quivalente aux autres systemes cryptographiques 
mais avec des tailles de cle moindres. Ce gain en taille de 
cl6 implique une diminution des besoins en memoire et une 

15 reduction des temps de calcul, ce qui rend 1' utilisation 
, des courbes elliptiques par ticulierement adaptees pour des 
applications de type carte a puce . 

Pour memoire, une courbe elliptique sur un corps fini 
20 GF(q A n) est l'ensemble des points (x,y) appartenant a 
GF(q A n) verifiant 1' equation : 

y^2 + aixy + a 3 y = x~3 + a 2 x^2 + a 4 x + a 6 , avec ai dans GF(q^n) 
et du point a l'infini O. Toute courbe elliptique sur un corps 
peut s 1 exprimer sous cette forme . 

25 ■ 

L'ensemble des points (x,y) et le point a l'infini forment un 
groupe ab£lien, dans lequel le point £ l ! infini est l 1 element 
neutre et dans lequel 1* operation de groupe est l f addition de 
points, notee + et donnee par la regie bien connue de la secante 
30 et de la tangente (voir par exemple « Elliptic Curve Public Key 
Cryptosystems » par Alfred Menezes, Kluwer, 1993) . Dans ce groupe, 
la paire (x,y), ou l'abscisse x et 1 1 ordonn^e y sont des elements 
du corps GF(q A n) , forme les coordonn^es affines d f un point P de la 
courbe elliptique . 
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II existe 2 proceeds pour representer un point d'une courbe 
elliptique : 

- Premierement , la representation en coordonnees affines 
5 ; dans ce procede, un point P de la courbe elliptique 

est represents par ses coordonnees (x,y) ; 

- Deuxiement, la representation en coordonnees 
pr o j ectives . 

10 L'avantage de la representation en coordonnees projectives 
est qu'elle permet d'eviter les divisions dans le corps 
fini, lesdites divisions etant les operations les plus 
couteuses en temps de calcul. 

15 La representation en coordonnSs projectives la plus 
couramment utilisee, dite jacobienne, est celle consistant 
a representer un point P de coordonnees affines (x,y) sur 
la courbe elliptique par les coordonnees (X,Y,Z), telles 
que x=X/Z^2 et y=Y/Z ys 3. La representation jacobienne d'un 

20 point n'est pas unique parce que le triplet (X,Y,Z) et le 
triplet (X"2.X, \"3.Y, X.Z) repr<§sentent le m§me point quel 
que soit 1' element non-nul X appartenant au corps fini sur 
lequel est defini la courbe elliptique. 

25 Une autre representation en coordonnees projectives, dite 
homogene, consiste a representer un point P de coordonnees 
affines (x,y) sur la courbe elliptique par les coordonnees 
(X,Y,Z), telles que x=X/Z et y=Y/Z. La representation 
homogene d'un point n'est pas unique parce que le triplet 

30 (X,Y,Z) et le triplet {X.X, A..Y, X . Z ) representent le meme 
point quel que soit l 7 element non-nul X appartenant au 
corps fini sur lequel est defini la courbe elliptique. 
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L' operation d' addition de points permet de definir une 
operation d' exponentiation sur courbe elliptique : etant 
donne un point P appartenant a une courbe elliptique et un 
entier d, le r^sultat de 1 ' exponent iation de P par d est le 
5 point Q tel que Q=d* P = P + P + ...+ P (d fois) . Dans le cas des 
courbes elliptiques, afin d'insister sur la notation 
additive, 1 ' exponentiation est encore appelee 

multiplication scalaire. 

10 La securite des algorithmes de cr yptographie sur courbes 
elliptiques est basee sur la difficulty du probleme du 
logarithme discret dans le groupe G forme par les points 
d'une courbe elliptique, ledit probleme consistant a partir 
de deux points Q et P appartenant a G, de trouver, s'il 

15 existe, un entier d tel que Q=d*P. 

II existe de nombreux algorithmes cryptographiques 
bases sur le probleme du logarithme discret. Ainsi, il est 
possible de mettre en ceuvre des algorithmes assurant 
20 l'authentification, la confidentiality, le controle 
d'int£grite et l'echange de cle. 

Un point commun a la plupart des algorithmes 
cryptographiques bases sur le probleme du logarithme 

25 discret dans un groupe G est qu'ils comprennent comme 
parametre un element g appartenant a ce groupe. La cle 
privee est un entier d choisi alea toirement .. La cle 
publique est un element y tel que y=g /v d. Ces algorithmes 
cryptographiques font generalement intervenir une 

30 exponentiation dans le calcul d'un element z = h A d oil d est 
la cle secrete et h est un element du groupe G. 

Dans le paragraphe ci-dessous, on decrit un algorithme 
de chiffrement base sur le probleme du logarithme discret 
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dans un groupe G, note mult iplicativement . Ce schema est 
analogue au schema de chiffrement d'El Gamal . Solent un 
groupe G et un Element g dans G. La cle publique de 
chiffrement est y=g A d et la cle privee de dechiff rement est 
5 d. Un message m est chiffre de la maniere suivante. 

Le chiffreur, ou personne desirant chiffrer un 
message, choisit un entier k al^atoi rement et calcule les 
elements h=g^k et z^y^k dans le groupe G, et c=R ( z ) 0 m ou 
R est une fonction appliquant les Elements de G sur 
10 l'ensemble des messages et © designe l'operateur du OU 
exclusif. Le chiffre correspondant & m est la paire (h,c). 

Le dechiffreur, ou personne desirant dechiffrer un 
message, qui possede la cle secrete d dechiffre m en 
calculant : 

15 z' =h /s d=g /s (k.d) =y*k et m=R(z')0 c. 



Pour realiser les exponentiations necessaires dans les 
precedes de calcul decrits precedemment, plusieurs 
20 a'lgorithmes existent : 

algorithme d' exponentiation binaire gauche-droite; 

algorithme d' exponentiation k-aire gauche-droite; 

- algorithme d' exponentiation modifie k-aire gauche- 
droite ; 

25 - algorithme d' exponentiation avec fenetres glissantes 

gauche-droite ; 

- algorithme d' exponentiation en representation signee 
de 1 ' exposant . 

30 Ces algorithmes sont detailles dans le chapitre 14 de 
« Handbook of Applied Cryptography » par A.J. Menezes, P.C. 
van Oorschot et S.A. Vanstone, CRC Press, 1997. Cette liste 
n'est pas exhaustive. 
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L' algorithme le plus simple et le plus utilise est 
1' algorithme d' exponentiation binaire gauche-droite . 
L' algorithme d' exponentiation binaire gauche-droite prend 
5 en entree un element g d'un groupe G et un exposant d. 
L'exposant d est note d= (d (t) , d (t-1 ),..., d (0 )) , ou (d(t),d(t- 
l),...,d(0)) est la representation binaire de d, avec d(t) le 
bit le plus significatif et d(0) le bit le moins 
signif icatif . L ' algorithme retourne en sortie l'el<§ment 
10 y=g ys d dans le groupe G. 



L' algorithme d' exponentiation binaire gauche-droite 
comporte les 3 etapes suivantes : 

15 1) Initialiser le registre A avec 1' element neutre de G 

2) Pour i allant de t a 0 executer : 
2a) Remplacer A par A A 2 
2b) Si d(i)=l remplacer A par A.g 

3 ) Retourner A . 

20 

L' algorithme d' exponentiation k-aire gauche-droite prend en 
entree un element g d'un groupe G et un exposant d note 
d=(d(t) , d(t-l) , d<0)), ou (d(t) ,d<t-l) ,...,d{0) ) est la 
representation k-aire de d, c'est-a-dire chaque chiffre 
25 d(i) de la representation de d est un entier compris entre 
0 et 2 /v k-l pour un entier k>l , avec d(t) le chiffre le plus 
significatif et d(0) le chiffre le moins significatif. 
L'algorithme retourne en sortie l'element y=g A d dans le 
groupe G et comporte les 4 etapes suivantes : 



30 



1) Precalculs : 

la) Definir gi^g 

lb) Si k>2, pour i allant de 2 a (2^k-l) : calculer 

gi=g"i 
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2) Initialiser le registre A avec 1' element neutre de G 

3) Pour i allant de t a 0 executer : 
3a) Remplacer A par A A (2 A k) 

3b) Si d(i) est non-nul, remplacer A par A.gi 

5 4) Retourner A. 

Dans le cas ou k est §gal a 1, on remarque que l'algorithme 
d' exponentiation k-aire gauche-droi te n'est autre que 
1' algori thme d' exponentiation binaire gauche-dr oi te . 

L'algorithme d' exponentiation k-aire gauche-droi te peut 
etre adapte pour prendre en entr&e une representation 
signee de l'exposant d. L f exposant d est donne par la 
representation (d (t) , d ( t-1 ),..., d ( 0 ) ) dans laquelle chaque 
chiffre d(i) est un entier compris entre -(2 A k-l) et 2 A k-l 
pour un entier k>l , avec d(t) le chiffre le plus 
significatif et d(0) le chiffre le moins signif icatif . 
L'etape 3b de l'algorithme precedent est alors remplacee 
par 

3b' ) Si d(i) est strictement positif , remplacer A par 
A.g x ; et si d(i) est strictement negatif , 

remplacer A par A.(gi) A (-l) 

25 Cette adaptation est particulierement interessante quand 
1' inverse des elements g L , note (gi) " (-1) , est facile ou 
peu couteux a calculer. Ceci est par exemple le cas dans le 
groupe G des points d 7 une courbe elliptique. Dans le cas ou 
1' inverse des elements g L n'est pas facile ou trop couteux 

30 a calculer, leur valeur est precalculee. 

L'algorithme d ' exponentiation modifie k-aire gauche-droi te 
reduit les precalculs de l'algorithme d' exponentiation k- 
aire gauche-droi te en ne calculant que g A 2 et les 
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puissances impaires de g lorsque k>2 . II a les memes 
entrees que 1'algorithme d' exponentiation k-aire gauche- 
droite et retourne en sortie l'element y=g ys d dans le groupe 
G. II comporte les 4 stapes suivantes : 

5 

1) Precalculs : 

la) Definir gi = g et calculer g 2 =g /v 2 

lb) Pour i allant de 1 a (2^(k-l)-l) : calculer 
g 2 i + i=g" <2i+l) 

10 2) Initialiser le registre A avec l'element neutre de G 

3) Pour i allant de t a 0 executer : 

3a) Si d(i)=0, remplacer A par A /V (2 /V k) 

3b) Si d(i) est non-nul, 6crire d(i)=2~v.u avec u 

impair et remplacer A par [ A^ ( 2 A ( k-v) ) . g u ] A ( 2 ) 
15 4 ) Retourner A . 



Tout comme 1'algorithme d' exponentiation modifie k-aire 
gauche-droite, 1'algorithme d' exponentiation avec fenetres 
glissantes gauche-droite reduit non seulement les 
precalculs mais aussi le nombre moyen de multiplications 
dans le groupe G. II prend en entree un element g d'un 
groupe G, un exposant d, note d= (d ( t ), d ( t- 1 ),..., d ( 0 )) , ou 
(d (t) , d (t-1 ),..., d ( 0 ) ) est la representation binaire de d et 
un entier k>l appel£ la largeur de la fenetre. II retourne 
en sortie l'element y=g^d dans le groupe G et comporte les 
4 etapes suivantes : 



1 ) Precalculs : 

la) Definir q 1 = g et calculer g 2 = g A 2 
30 lb) Pour i allant de 1 k (2 A (k-l)-l) : calculer 

g2i^i = g /s (2i+l) 

2 ) Initialiser le registre A avec l'element neutre de G 
et le compteur i avec la valeur t 

3) Tant que i est positif ou nul executer : 
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3a) Si d(i)=0, remplacer A par A^2 et i par i-1 

3b) Si d(i)=l, ex^cuter : 

3b-l) Trouver la plus longue chaine binaire 

d (i) , d (i-1) , d ( j ) telle que i-j+l<k et d(j)=l 
5 3b-2) D6finir u comme 1'entier ayant pour 

representation binaire (d(i) , d (i-1 ) , d ( j ) ) 
3b-3) Remplacer A par A A ( 2 A ( i- j + 1 ) ) . g u et i par 

j-1 

4) Retourner A. 

10 

Les algorithmes d' exponentiation pour le calcul de 
y=g A d dans le groupe G decrits pr^cedemment ainsi que leurs 
nombreuses variantes parcourt l'exposant d de la gauche 
vers la droite, c'est-a-dire de la position la plus 
15 significative vers la position la moins significative. De 
facon reraarquable, on distingue deux types d' operations : 

Les multiplications du registre A, appele 

accumulateur, par lui-meme ; 

Les multiplications du registre A par la valeur 
20 constante g ou une de ses puissances g i =g /N i. 

Lorsque g (respectivement une des ses puissances gi) 
presente une structure part icul ier e , la multiplication de 
1 ' accumulateur A par g dans le groupe G (respectivement une 
de ses puissances g ± ) peut etre subs tantiellement plus 
25 rapide que la multiplication de deux elements arbitraires 
de G . 

Notamment, lorsque le groupe G est le groupe mul tiplicat if 
du corps premier GF(q) et que g (respectivement une de ses 
30 puissances gi) est represents comme un entier en simple 
precision, le calcul de A.g (respectivement A.gi) en multi- 
precision dans G peut se faire en un temps lineaire. Par 
exemple, si g est egal & 2, la multiplication de A par g=2 
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revient a additionner A avec lui-meme dans le groupe G : 
A. 2=A+A. 

Les algorithmes d' exponentiation decrits precedemment 
5 sont donnes en notation multiplicative ; en d'autres mots, 
la loi de groupe du groupe G est not6e . (multiplication) . 
Ces algorithmes peuvent etre donn^es en notation additive 
en remplagant les multiplications par des additions ; en 
d'autres mots, la loi de groupe du groupe G est notee + 
10 (addition) . Ceci est par exemple le cas du groupe des 
points d'une courbe elliptique qui est le plus souvent 
donne sous forme additive. Dans ce cas, le cas de Q=d*P sur 
une courbe elliptique peut se calculer par n'importe lequel 
des algorithmes decrits precedemment en remplacant 
15 1' operation de multiplication par 1' addition de points sur 
ladite courbe elliptique. Similairement et de fagon 
remarquable, on distingue deux types d' operations : 

- Les additions du registre A, appele accumulateur, par 
lui-meme ; 

20 - Les additions du registre A par la valeur constante P 

ou un de ses multiples Pi = i*P. 
Lorsque le point P ( respectivement une des ses multiples 
Pi) a une structure particuliere, 1' addition de 
1 9 accumulateur A par P (respectivement un de ses multiples 

25 Pi) peut etre subs tant iellement plus rapide que 1' addition 
de deux points arbitraires sur une courbe elliptique. 
Notamment, si le point P est represents en coordonnees 
projectives (de fagon jacobienne ou homog£ne) par P-(X,Y,Z) 
avec la coordonnee en Z 6gale & 1, le nombre d' operations 

30 pour calculer 1' addition des points A et P en coordonnees 
projectives est reduit. 

II est apparu que 1 ' implementation sur carte a puce 
d'un algorithme cryptographique £ cle publique base sur le 
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logarithme discret etait vulnerable a des attaques 
consistant en une analyse dif f £rentielle d'une grandeur 
physique permettant de retrouver la cle secrete. Ces 
attaques sont appelees attaques de type DPA , acronyme pour 
5 Differential Power Analysis et ont notamment ete devoilees par 
Paul Kocher (Advances in Cryptology - CRYPTO '99, volume 1966 de 
Lecture Notes in Computer Science, pages 388-397, Springer-Verlag, 
1999) . Parmi les grandeurs physiques qui peuvent etre exploitees a 
ces fins, on peut citer la consommation en courant, le champ 
10 electromagnetique • . . Ces attaques sont basees sur le fait que la 
manipulation d'un bit, c'est a dire son traitement par une 
instruction particuliere, a une empreinte particuliere sur la 
grandeur physique consideree selon sa valeur. 

15 En particulier, lorsqu'une instruction manipule une donnee 
dont un bit particulier est constant, la valeur des autres 
bits pouvant varier, 1' analyse de la consommation de 
courant liee cl 1' instruction montre que la consommation 
moyenne de 1 ' ins truction n'est pas la meme suivant que le 

20 bit particulier prend la valeur 0 ou 1 . L'attaque de type 
DPA permet done d'obtenir des informations supplemen taires 
sur les donnees intermediaires manipulees par le 
microprocesseur du composant electronique lors de 
1' execution d'un algorithme cryptographique . Ces 

25 informations supplementaires peuvent dans certain cas 
permettre de reveler les param^tres priv^s de 1' algorithme 
cryptographique, rendant le systeme cryptographique 
vulnerable . 

30 Une parade efficace aux attaques de type DPA est de rendre 

aleatoire les entrees de l f algorithme d • exponentiation utilise 
pour calculer y=g' v d. En d 1 autres termes, il s 1 agit de rendre 
l'exposant d et/ou 1' element g aleatoire. En notation additive, 
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dans le calcul de Q=d*P, il s'agit de rendre l'exposant d et/ou 
1' element P aleatoire. 

Des proc6d£s de contre-mesure appliquant ce principe sont 
5 connus. De tels procedes de contre-mesure sont notamment decrits 
dans un article de Jean-Sebastien Coron (Cryptographic Hardware 
and Embedded Systems, volume 1717 de Lecture Notes in Computer 
Science, pages 292-302, Springer-Verlag, 1999) . 

10 Notamment, dans cet article, un procede de contre-mesure conssiste 
a masquer le point P du groupe des points d' une courbe elliptique 
definie sur le corps GF(q A n) en utilisant des coordonnees 
projectives de ce point, definies de fagon aleatoire. Dans 
1' article precite, on tire ainsi un nombre aleatoire X non-nul 

15 dans GF(q A n) et on represente le point P=(x,y) par des coordonnees 
projectives fonction de ce nombre aleatoire, par exemple sous la 
forme P=(A, A 2.x, X"3.y,X) en representation jacobienne, ou P*=<A,.x, 
A,.y, X) en representation homog£ne. On applique l'algorithme 
d 1 exponentiation a ces coordonnees. On obtient une representation 

20 du point Q en coordonnees projectives, desquelles on d§duit 
(calcule) les coordonnees af fines de ce point. 

Un autre procede de contre-mesure connu par l'homme du metier 
pour masquer 1' element g du groupe multiplicatif G d' un corps fini 
GF(q A n) consiste & representer cet element dans une extension de 

25 GF(q^n), de fagion aleatoire. Par exemple, dans le cas d'un corps 
premier GF(q), une extension de GF (q) est donnee par 1'anneau 
R=Z/ (qk) obtenu en quotientant 1'anneau des entiers Z par 1'anneau 
qkZ pour un entier k donne . On tire alors un nombre aleatoire X 
dans 1'anneau Z/ (k) et on represente 1' element g par g*=g+A,.q. 

30 On applique l'algorithme d' exponent iati on a l'element g* 
dans R et on obtient une representation de l'element 
y*=(g") A d dans R, de laquelle on deduit (calcule) la 

valeur de y=g A d dans G en reduisant y* modulo q. 



WO 2004/111831 



14 



PCT/EP2004/051144 



Ce precede de contre-mesure s' applique egalement dans le 
cas d'un element g du groupe multiplicatif G d'un corps 
fini GF(q^n) avec n>l. Si le corps GF(q A n) est repr<§sent6 
5 comme le quotient de l'anneau polynomial GF (q) [X] par un 
polynome irr£ductible p de degre n sur GF ( q) , alors une 
extension de GF(q A n) est donnee par l'anneau 
R=GF (q) [X]/ (p.k) obtenu en quotientant l'anneau polynomial 
GF(q)[X] par le produit des polynomes p et k avec k donne . 

10 On tire alors un polynome aleatoire A,(X) dans l'anneau GF[X]/(k) 
et on represente 1' element g par g* = g+X.p. On applique 

l'algorithme d' exponentiation a 1' element g* dans R et on 
obtient une representation de 1' element y*=(g*) A d dans R, 
de laquelle on d£duit (calcule) la valeur de y=g^d dans G 

15 en reduisant y* modulo p(X). 

L' inconvenient de 1' ensemble de ces procedes rendant 'aleatoire 
g ou P decrits ci-dessus est que si 1' element g (respectivement P) 
du groupe G est rendu aleatoire dans le calcul de y=g" v d 
(respectivement Q=d*P) , alors la structure particuli£re de g 

20 (respectivement P) ne peut plus etre exploitde pour accelerer 
ledit calcul. 

Un objet de la pr^sente invention est un proc£d§ de contre- 
mesure, notamment vis a vis des attaques de type DPA. 

25 

Un autre objet de 1' invention est un precede de contre-mesure 
aise a mettre en oeuvre. 

Par rapport aux procedes de contre-mesure connus, le procede 
30 propose pr£sente l'avantage d'etre plus rapide pour proteger 
1' Evaluation de y=g A d dans un groupe G note de fagon 
multiplicative (respectivement 1' evaluation de Q=d*P si le groupe 
est note de fagon additive) lorsque l'algorithme d' exponentiation 
utilise pour ce calcul est de type gauche-droite et que g 
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(respectivement P) a une structure particuliere ; les algorithmes 
d' exponentiation gauche-droite ayant la propri&te remarquable 
d' avoir des operations de multiplication de 1 ' accumulateur A 
par la valeur constante g ou une de ses puissances g i = g /v i 
5 (respectivement des operations d' addition de 1' accumulateur A par 
la valeur constante P ou un de ses multiples Pi=i*P) . 

L'idee a la base de 1' invention est de rendre al£atoire 
1' accumulateur A dans 1' algorithme d' exponentiation gauche-droite 

10 utilise. Ce procede de masquage peut se . faire au debut de 
l'algorithme ou encore de fagon deterministe ou probabiliste 
durant 1' execution de l'algorithme. Ainsi le calcul de y=g /v d dans 
le groupe G note de fagon multiplicative (respectivement Q=d*P si 
le groupe G est note de fagon multiplicative) est rendu aleatoire 

15 sans que la structure de 1' element g (respectivement P) ou une de 
ses puissances g i =g /v i (respectivement un de ses multiples Pi=i*P) 
ne soit alteree. 

L ' invention concerne done un procede de contre-mesure dans un 
20 composant electronique mettant en oeuvre un algorithme 

cryptographique a cle publique, comprenant un calcul 
d 1 exponentiation, avec un algorithme d' exponentiation de type 
gauche-droite , de type y=g A d ou g et y sont des Elements du groupe 
determine G note de fa<?on multiplicative et d est un nombre 
25 predetermine, caracterisd en ce qu'il comprend une etape de tirage 
aleatoire, au debut ou durant 1' execution dudit algorithme 
d' exponentiation, de fagon deterministe ou probabiliste, pour 
masquer 1' accumulateur A de sorte que la structure de 1' element g 
ou une de ses puissances g i =g / "i ne soit pas alteree. Ce procede 
30 s' applique de la meme fagon si le groupe G est note de fagon 
additive . 
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D'autres caracteristiques et avantages de 1' invention sont 
presentees dans les descriptions suivantes, faites en reference a 
des modes de realisation particuliers . 



5 On a vu que 1' algorithme d' exponentiation le plus simple et le 

plus utilise dans un groupe G est 1' algorithme d' exponentiation 
binaire gauche-droite et que ce type d' algorithme est plus 
efficace lorsque 1' element de G en entree a une structure 
particuliere. Par ailleurs, la plupart des syst£mes 

10 cryptographiques dont la securite est basee sur le probleme du 
logarithme discret sont construits dans le groupe multiplicatif 
d'un corps fini GF (q) avec q premier ou dans le groupe des points 
d'une courbe elliptique definie sur un corps fini. 

15 Soit done G le groupe multiplicatif d'un corps fini GF (q) avec 

q premier et soit un algorithme d' exponentiation binaire gauche- 
droite prenant en entree un element g de G represents comme un 
entier en simple precision et un exposant d donne par la 
representation binaire (d (t) , d (t-1) , d (0) ) , et retournant en 

20 sortie l'£l£ment y=g /N d dans le groupe G. Dans 1' invention, 
1' accumulateur dudit algorithme d' exponentiation est masque de 
facon aleatoire. Ainsi, un proc&de de contre-mesure selon 
1' invention applique au groupe multiplicatif G d' un corps premier 
GF(q) peut s'ecrire comme suit : 

25 

1) Determiner un entier k definissant la sScurite du masquage 

2) Initialiser 1 ' accumulateur A avec 1' entier 1 

3) Pour i allant de t a 0, executer : 

3a) Tirer un entier aleatoire X compris entre 0 et k-1 et 

30 remplacer 1 ' accumulateur A par A+A,.q (modulo k.q) 

3b) Remplacer A par A^2 (modulo k.q) 

3c) Si d(i)=l remplacer A par A.g (modulo k.q) 

4) Retourner A (modulo q) . 
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Typiquemment, le param&tre de security k est fixe a 32 ou 64 bits. 
De fagon remarquable a l'etape 3c, la multiplication se fait avec 
1' entier g represents en simple precision. 

5 De prSfSrence, le masquage de l'accumulateur A a l'etape 3a ne se 
fait qu'au debut de 1' exponentiation. On obtient ainsi le procede 
de contre-mesure suivant : 

1) Determiner un entier k definissant la securite du masquage 
10 2) Tirer un entier aleatoire A. compris entre 0 et k-1 et 

initialiser l'accumulateur A avec l'entier 1 + A,.q (modulo 
k.q) 

3) Pour i allant de t-1 a 0, executer : 

3a) Remplacer A par A*2 (modulo k.q) 

15 3b) -Si d(i)=l remplacer A par A.g (modulo k.q) 

4) Retourner A (modulo q) . 

De fagon remarquable a l'Stape 3b, la multiplication se fait avec 
l'entier g represents en simple precision. 

20 

Une autre application interessante de 1' invention concerne 
1' exponentation dans le groupe G des points d'une courbe 
elliptique definie sur un corps firii GF(q A n) . Dans ce groupe G, 
note de fagon additive, 1' inversion d' un point P, notee -P, est 

25 une operation peu couteuse de sorte qu'il est intSressant de 
remplacer l'algorithme d' exponentiation binaire gauche-droite par 
sa version signee comme explique dans un article de Frangois 
Morain et de Jorge Olivos (Theoretical Informatics and 
Applications, volume 24, pages 531-543, 1990). Soit done G le 

30 groupe des points d'une courbe elliptique definie sur un corps 
fini GF(q A n) et soit un algorithme d' exponentiation binaire signe 
gauche-droite prenant en entree un point P represents en 
coordonnees af fines par P=(x,y) et un exposant d donnS par la 
representation binaire signee (d (t+1) , d (t) , d (0) ) avec d(i)=0, 1 
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ou -1 pour 0^i<t et d(t+l)=l, et retournant en sortie le point 
Q=d*P dans le groupe G en coordonn^es af fines. Dans 1' invention, 
1' accumulateur dudit algorithme d' exponentiation est un triplet de 
valeurs dans GF(q"n) et est masque de fagon al^atoire. Ainsi, un 
5 procede de contre-mesure selon 1' invention appliqu6 au groupe G 
des*. points d'une .courbe elliptique d£finie sur un corps fini 
GF(q^n) peut s'^crire comme suit : 

1) I Initialiser 1' accumulateur A=(A X ,A Y ,A Z ) avec le triplet 
(x,y,l) 

2) Pour i allant de t a 0, executer : 

2a) Tirer un element non nul aleatoire X dans GF (q A n) et 

remplacer 1 ' accumulateur A=(A x ,A y ,A 2 ) par 

(X*2 . A X A A 3 .A y/ X.A Z ) 
2b) Remplacer A=(A X ,A Y ,A Z ) par 2*(A X ,A Y/ A Z ) en 

representation jacobienne, sur la courbe 

elliptique 

2c) Si d(i) est non-nul remplacer A=(A X ,A Y ,A 2 ) par 
(A X , A Y , A z ) +d(i)*(x,y,l) en representation jacobienne, 
sur la courbe elliptique 

3) Si A z = 0 retourner le point a l'infini ; sinon 
retourner (A X /(A Z ) A 2, A Y /(A Z )"3). 

De fagon remarquable a l'etape 2c, 1' addition sur la courbe 
25 elliptique se fait avec le point P=(x,y, 1) dont la coordonnee en Z 
est egale £ 1 . 

De preference, le masquage de 1' accumulateur A k l'etape 2a ne se 
fait qu'au debut de 1' exponentiation . On obtient ainsi le procede 
30 de contre-mesure suivant : 



10 
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1) Tirer un Element non nul al<§atoire X dans GF(q A n) et 
initialiser 1'accumulateur A=(A X ,A Y ,A Z ) avec le triplet 
(X*2 .x,)l A 3 .y, X) 

2) Pour i allant de t & 0, ex£cuter : 

5 2a) Remplacer A=(A X ,A Y ,A Z ) par 2*<A X ,A Y ,A Z ) en 

representation jacobienne, sur la courbe 

ellipt ique 

2b) Si d(i) est non-nul remplacer A=(A X ,A Y ,A Z ) par 
(A x , A Y , A z ) +d(i) * (x,y, 1) en representation jacobienne, 
10 sur la courbe elliptique 

3) Si A z =0 retourner le point a 1'infini ; sinon retourner 
(A X /(A Z ) A 2, A Y /(A Z )~3) . 

De facon remarquable a l'etape 2b, 1' addition sur la courbe 
15 elliptique se fait avec le point P=(x,y,l) dont la coordonnee en Z 
est egale ct 1. 

Si les points de la courbe elliptique sont representes de fagon 
homogene, les deux procedes de contre-mesure decrits precedemment 
20 deviennent respectivement : 

1) Initialiser 1'accumulateur A=(A X ,A Y ,A Z ) avec le triplet <x,y,l) 

2) Pour i allant de t a 0, executer : 

2a) Tirer un Element non nul aleatoire X dans GF(q A n) et 

25 remplacer 1'accumulateur A=(A X ,A Y ,A Z ) par (X . A x , X . A Y , 

X . A z ) 

2b) Remplacer A=(A X ,A Y ,A Z ) par 2*(A X ,A Y ,A Z ) en 

representation homogene, sur la courbe elliptique 

2c) Si d(i) est non-nul remplacer A=(A X ,A Y ,A Z ) par 
30 (A x ,A Y ,A z )+d(i) * (x,y, 1) en representation homogene, 

sur la courbe elliptique 

3) Si A z =0 retourner le point a 1'infini ; sinon retourner 
(A*/A z , A Y /A Z ) • 
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De fagon remarquable & l'etape 2c, 1' addition sur la courbe 
elliptique se fait avec le point P=(x,y,l) dont la coordonnee en Z 
est egale a 1. 

5 

1) Tirer un Element non nul aleatoire X dans GF(q A n) et 
initialiser 1 ' accumulateur A=(A X ,A Y ,A Z ) avec le triplet 
(X. x,X. y, X) 

2) Pour i allant de t a 0, executer : 

10 2a) Remplacer A=(A X ,A Y ,A Z ) par 2*(A X/ A Y ,A 2 ) en 

representation homogene, sur la courbe elliptique 
2b) Si d(i) est non-nul remplacer A=(A X ,A Y ,A 2 ) par 
(A x , A Y , A 2 ) +d (i) * (x, y, 1) en representation homogene, 
sur la courbe elliptique 
15 3) Si A 2 = 0 retourner le point a l'infini ; sinon retourner 

(A x /A 2 , A Y /A 2 ) . 

De fagon remarquable a l'etape 2b, 1' addition sur la courbe 
elliptique se fait avec le point P=(x,y,l) dont la coordonnee en Z 
20 est egale a 1. 

De fagon gen§rale, le procede de contre-mesure selon 
1' invention s'applique a tout algorithme d' exponentiation de type 
gauche-droite dans un groupe G, note de fagon multiplicative ou 
25 additive. 
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REVENDICAT IONS 

1. Proc£de de contre-mesure dans un composant electronique 
mettant en oeuvre un algorithme cryptographique a cle 

5 publique, comprenant un calcul d' exponentiation, avec un 

algorithme d' exponentiation de type gauche-droite, de type 
y=g A d ou g et y sont des ■ elements du groupe determine G 
note de fagon multiplicative et d est un nombre 
predetermine, caracterise en ce qu'il comprend une etape de 
10 tirage aleatoire, au debut ou durant 1' execution dudit 

algorithme d' exponentiation de fagon d^terministe ou 
probabiliste, pour masquer 1 9 accumulateur A. 

2. Proc^de de contre-mesure selon la revendication 1, 
15 caracterise en ce que le groupe determine G est note de 

fagon additive. 

3. Procede de contre-mesure selon la revendication 1 
caracterise en ce que le groupe G est le groupe 

20 multiplicatif d'un corps fini note GF(q A n), n etant un 

entier . 

4. Procede de contre-mesure selon la revendication 3 
caracterise en ce que 1' entier est n egal a 1 : n=l . 

25 

5. Procede de contre-mesure selon la revendication 4 
caracterise en ce qu' il comprend les Stapes suivantes : 

1) Determiner un entier k definissant la securite du 
masquage et donner d par la representation binaire 

30 (d(t), d(t-l), d(0)) ; 

2) Initialiser 1' accumulateur A avec I 9 entier 1 

3) Pour i allant de t a 0, executer : 

3a) Tirer un entier aleatoire X compris entre 0 et 
k-1 et remplacer 1 ' accumulateur A par A+X-.q 
35 (modulo k.q) 
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3b) Remplacer A par A A 2 (modulo k.q) 

3c) Si d(i)=l remplacer A par A.g (modulo k.q) 

4) Retourner A (modulo q) . 

5 6. Procede de contre-mesure selon la revendication 4 

caracterise en ce qu'il comprend les etapes suivantes : 

1) Determiner un entier k definissant la securite du 
masquage et donner d par la representation binaire 
(d(t), d(t-l), d(0)) ; 

10 2) Tirer un entier aleatoire X compris entre 0 et k-1 

et initialiser 1' accumulateur A avec 1' entier 1+A,.q 
(modulo k.q) 

3) Pour i allant de t-1 a 0, executer : 

3a) Remplacer A par A A 2 (modulo k.q) 
15 3b) Si d(i)=l remplacer A par A.g (modulo k.q) 

4) Retourner A (modulo q) . 

7 . Procede de contre-mesure selon la revendication 2 
caracterise en ce l'algorithme d' exponentiation s' applique 

20 au groupe G des points d'une courbe elliptique defini sur 

un corps fini GF(q /s n). 

8 . Procede de contre-mesure selon la revendication 7 
caracterise en ce qu'il comprend les stapes suivantes : 

25 1) Initialiser. 1' accumulateur A=(A X/ A Y ,A Z ) avec le triplet 

(x,y,l) et donner d par la representation binaire 
signee (d(t+l), d(t), d(0)) avec d(t+l)=l; 

2) Pour i allant de t k 0, executer : 

2a) Tirer un element non nul aleatoire X dans 
30 GF (q A n) et remplacer 1 ' accumulateur A=(A X ,A Y ,A Z ) par 

(X"2 .A X ,X"3.A Y , X.A Z ) 

2b) Remplacer A=(A X/ A Y ,Az) par 2*(A x ,A y ,A z ) en 
representation jacobienne, sur la courbe 

elliptique 
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2c) Si d(i) est non-nul remplacer A=(A X ,A Y ,A Z ) 
par (A x , A Yf A z )+d(i) * (x, y, 1) en representation 

jacobienne, sur la courbe elliptique 

3) Si A 2 = 0 retourner le point k l'infini ; sinon 
5 retourner (A X /(A 2 ) /S 2, A Y / (A z ) ^3) . 

9. Procede de contre-mesure selon la revendication 7 
caracterise en ce qu'il comprend les etapes suivantes : 

1) Tirer un element non nul aleatoire X dans GF(q A n) , 
10 .initialiser 1 ' accumulateur A=(A X ,A Y ,A Z ) avec le 

triplet (X A 2.x f l A 3.y, X) et donner d par la 
representation binaire signee (d(t+l), d(t), 
d(0) ) avec d(t+l)=l ; 

2) Pour i allant de t a 0, executer : 

15 2a) Remplacer A=(A X ,A Y ,A Z ) par 2* (A X ,A Y , A z ) en 

representation jacobienne, sur la courbe 

elliptique 

2b) Si d(i) est non-nul remplacer A=(A X ,A Y ,A Z ) 
par (A X/ A Y , A z ) +d(i) * (x,y,l) en representation 

20 jacobienne, sur la courbe elliptique 

3) Si A z = 0 retourner le point a l'infini ; sinon 
retourner (A X /(A Z ) /V 2, A Y /(A Z )^3). 

10. Procede de contre-mesure selon la revendication 7 
25 caracterise en ce qu' il comprend les Stapes suivantes : 

1) Initialiser 1' accumulateur A=(A X ,A Y ,A Z ) avec le triplet 
(x,y,l) et donner d par la representation binaire 
signee (d(t+l), d(t), d(0)) avec d(t+l)=l ; 

2) Pour i allant de t a 0, executer : 

30 2a) Tirer un element non nul aleatoire X dans 

GF(q A n) et remplacer 1 ' accumulateur A=(A X ,A Y/ A Z ) par 
( X . A x , X . A Y , X . A z ) 

2b) Remplacer A= (A x , A Y/ A z ) par 2*(A Xf A Y/ A z ) en 
representation homogene, sur la courbe elliptique 
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2c) Si d(i) est non-nul remplacer A=(A X ,A Y ,A Z ) 
par (A x , A Y , A z ) +d(i) * (x, y, 1) en representation 

homogene, sur la courbe elliptique 

3) Si A z = 0 retourner le point & l'infini ; sinon 
5 retourner (A x /A z , A Y /A Z ) . 

11. Proc£de de contre-mesure selon la revendication 7 
caracterise en ce qu'il comprend les etapes suivantes : 

1) Tirer un element non nul aleatoire X dans GF(q A n) , 
10 initialiser 1 ' accumulateur A=(A X ,A Y ,A Z ) avec le 

triplet (X.x,X.y f X) et donner d par la 
representation binaire sign£e (d(t+l), d(t), 
d(0) ) avec d(t+l)=l ; 

2) Pour i allant de t a 0, executer : 

15 2a) Remplacer A=(A X ,A Y ,A Z ) par 2*(A X/ A Y/ A Z ) en 

representation homog^ne,, sur la courbe elliptique 

2b) Si d(i) est non-nul remplacer A=(A X ,A Y ,A Z ) 
par (A X/ A Y/ A 2 ) +d(i) * (x,y, 1) en representation 

homogene, sur la courbe elliptique 
20 3) Si A z =0 retourner le point a l'infini ; sinon 

retourner (A x /A z , A Y /A Z ) . 
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12. Composant electronique utilisant le proced6 de contre- 
mesure selon l'une quelconque des revendications 
precedentes . 



